Richtlinienreferenz zur Verhinderung von Datenverlust

Microsoft Purview Data Loss Prevention -Richtlinien (DLP) müssen viele Komponenten konfiguriert werden. Um eine effektive Richtlinie zu erstellen, müssen Sie verstehen, was der Zweck jeder Komponente ist und wie ihre Konfiguration das Verhalten der Richtlinie ändert. Dieser Artikel enthält eine detaillierte Anatomie einer DLP-Richtlinie.

Empfohlene Literatur

1. Administrative Einheiten
2. Erfahren Sie mehr über die Verhinderung von Datenverlust in Microsoft Purview
3. Planen der Verhinderung von Datenverlust (Data Loss Prevention, DLP): In diesem Artikel gehen Sie wie folgt vor:
   1. Identifizieren von Projektbeteiligten
   2. Beschreiben der Kategorien vertraulicher Informationen, die geschützt werden sollen
   3. Ziele und Strategie festlegen
4. Übersicht über die Lösung für Sammlungsrichtlinien
5. Sammlungsrichtlinienreferenz
6. Richtlinienreferenz zur Verhinderung von Datenverlust : In diesem Artikel werden alle Komponenten einer DLP-Richtlinie vorgestellt und erläutert, wie jede komponente das Verhalten einer Richtlinie beeinflusst.
7. Entwerfen einer DLP-Richtlinie : In diesem Artikel erfahren Sie, wie Sie eine Richtlinienabsichtsanweisung erstellen und sie einer bestimmten Richtlinienkonfiguration zuordnen.
8. Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust : In diesem Artikel werden einige gängige Richtlinienabsichtsszenarien vorgestellt, die Sie Konfigurationsoptionen zuordnen. Anschließend werden Sie durch die Konfiguration dieser Optionen beschrieben.
9. Erfahren Sie mehr über die Untersuchung von Warnungen zur Verhinderung von Datenverlust : In diesem Artikel wird der Lebenszyklus von Warnungen von der Erstellung bis hin zur endgültigen Korrektur und Richtlinienoptimierung vorgestellt. Außerdem werden sie in die Tools eingeführt, die Sie zum Untersuchen von Warnungen verwenden.

DLP-Plattform-Überlegungen

Außerdem müssen Sie die folgenden Einschränkungen der Plattform beachten:

• Maximale Anzahl von MIP- und MIG-Richtlinien in einem Mandanten: 10.000
• Maximale Größe einer DLP-Richtlinie (100 KB)
• Maximale Anzahl von DLP-Regeln:
  • In einer Richtlinie: Begrenzt durch die Größe der Richtlinie
  • In einem Mandanten: 600
• Maximale Größe einer einzelnen DLP-Regel: 100 KB (102.400 Zeichen)
• Nachweislimit für DLP-Warnungen und Generieren von Incidentberichten: 100 mit jedem SIT-Beweis im Verhältnis zum Vorkommen
• Maximale Größe des aus einer Datei gescannten Texts: Die ersten 2 Millionen Zeichen (~2 MB) des extrahierenden Texts. Wenn eine Datei diesen Grenzwert überschreitet, werden die ersten 2 Millionen Zeichen gescannt, und das Signal "Dokument wurde nicht abgeschlossen" wird ausgegeben.
• RegEx-Größenlimit für alle vorhergesagten Übereinstimmungen: 20 KB
• Grenzwert für die Länge des Richtliniennamens: 64 Zeichen
• Grenzwert für die Länge der Richtlinienregel: 64 Zeichen
• Maximale Kommentarlänge: 1.024 Zeichen
• Beschreibungslängenlimit: 1.024 Zeichen
• Maximale Größe der Endpunkt-DLP-Einstellungen: 16.384 Zeichen

Richtlinienvorlagen

Es gibt fünf Arten von DLP-Richtlinienvorlagen in zwei Kategorien.

Unternehmensanwendungen & Geräten

• Erweiterte Richtlinien
• Richtlinien, die Typen von Finanzinformationen erkennen und schützen können.
• Richtlinien, die Typen von Medizinischen und Gesundheitsinformationen erkennen und schützen können.
• Richtlinien, die Arten von Datenschutzinformationen erkennen und schützen können.
• Eine benutzerdefinierte Richtlinienvorlage, die Sie verwenden können, um Ihre eigene Richtlinie zu erstellen, wenn keine der anderen Die Anforderungen Ihrer organization erfüllt.

In der folgenden Tabelle sind alle Richtlinienvorlagen und die typen vertraulichen Informationen (SIT) aufgeführt, die sie abdecken.

Inlinerichtlinien für Webdatenverkehr

• Eine benutzerdefinierte Richtlinienvorlage, mit der Sie Ihre eigene Richtlinie erstellen können.

Richtlinienbereich

Lesen Sie Verwaltungseinheiten , um sicherzustellen, dass Sie den Unterschied zwischen einem uneingeschränkten Administrator und einem Administrator mit eingeschränkten Verwaltungseinheiten verstehen.

DLP-Richtlinien sind auf zwei verschiedenen Ebenen festgelegt. Die erste Ebene wendet uneingeschränkte Administratorbereichsrichtlinien auf alle folgenden Bereiche in Ihrem organization (abhängig von den ausgewählten Speicherorten) oder auf Untergruppen Ihrer organization an, die als Richtlinien für eingeschränkte Verwaltungseinheiten bezeichnet werden:

• users
• groups
• Verteilergruppen
• Konten
• Websites
• Cloud-App-Instanzen
• Lokale Repositorys
• Fabric- und Power BI-Arbeitsbereiche

Auf dieser Ebene kann ein Administrator mit eingeschränkten Verwaltungseinheiten nur aus den Verwaltungseinheiten auswählen, denen er zugewiesen ist. DLP-Unterstützungs-Verwaltungseinheit für einige der Standorte, die unter Unternehmensanwendungen & Geräten geschützt sind.

Die zweite Ebene der DLP-Richtliniendefinition basiert auf den Speicherorten , die DLP unterstützt. Auf dieser Ebene sehen Administratoren mit einschränkungensbeschränkten und administrativen Einheiten nur die Benutzer, Verteilergruppen, Gruppen und Konten, die in der ersten Ebene des Richtlinienbereichs enthalten waren und für diesen Standort verfügbar sind.

Unterstützung für das Hinzufügen von SharePoint-Websites zu Verwaltungseinheiten

Microsoft Purview unterstützt das Hinzufügen von SharePoint-Websites zu vorhandenen Verwaltungseinheiten. Wenn Sie einer Verwaltungseinheit eine DLP-Richtlinie für den SharePoint-Speicherort zuweisen, gilt die Richtlinie nur für die Websites, die Teil dieser Verwaltungseinheit sind. Die Option zum weiteren Bearbeiten des Bereichs, um bestimmte Websites einzu- oder auszuschließen, ist nicht verfügbar. Die Richtlinie gilt für alle Websites, die Teil der Verwaltungseinheit sind.

Hier sehen Sie einen Beispielanwendungsfall:

Contoso hat eine Entra ID-Verwaltungseinheit für die Entwicklungsabteilung erstellt und bestimmte Administratoren zugewiesen, um die Benutzer und Gruppen für diese Abteilung zu verwalten. Die Entwicklungsabteilung verfügt über eine SharePoint-Website, die zum Speichern vertraulicher Informationen verwendet wird. Contoso möchte sicherstellen, dass die DLP-Richtlinie für die SharePoint-Websites der Entwicklungsabteilung nur für die SharePoint-Website gilt, die Teil der Verwaltungseinheit ist. Durch Zuweisen der DLP-Richtlinie zur Verwaltungseinheit gilt die Richtlinie nur für die SharePoint-Website, die Teil dieser Verwaltungseinheit ist. Außerdem kann der Administrator für eingeschränkte Verwaltungseinheiten nur die DLP-Richtlinie für diesen Standort verwalten und nur Die Ergebnisdaten für die Verwaltungseinheit im Aktivitäts-Explorer und die Warnungs-Dashboard anzeigen.

Uneingeschränkte Richtlinien

Uneingeschränkte Richtlinien werden von Benutzern in diesen Rollengruppen erstellt und verwaltet:

• Compliance-Administrator
• Compliancedatenadministrator
• Informationsschutz
• Information Protection-Administrator
• Sicherheitsadministrator

Weitere Informationen finden Sie im Artikel Berechtigungen .

Uneingeschränkte Administratoren können alle Richtlinien verwalten und alle Warnungen und Ereignisse anzeigen, die von Richtlinienbesprechungen in die Explorer Warnungen Dashboard und DLP-Aktivität fließen.

Richtlinien für eingeschränkte Verwaltungseinheiten

Verwaltungseinheiten sind Teilmengen Ihres Microsoft Entra ID Verzeichnisses und werden zum Verwalten von Sammlungen von Benutzern, Gruppen, Verteilergruppen und Konten erstellt. Diese Sammlungen werden in der Regel entlang von Geschäftsgruppenlinien oder geopolitischen Bereichen erstellt. Verwaltungseinheiten verfügen über einen delegierten Administrator, der einer Verwaltungseinheit in der Rollengruppe zugeordnet ist. Diese werden als Administratoren mit eingeschränkten Verwaltungseinheiten bezeichnet.

DLP unterstützt das Zuordnen von Richtlinien zu Verwaltungseinheiten. Details zur Implementierung im Microsoft Purview-Portal finden Sie unter Verwaltungseinheiten . Administratoren von Verwaltungseinheiten müssen einer der gleichen Rollen oder Rollengruppen wie Administratoren uneingeschränkter DLP-Richtlinien zugewiesen werden, um DLP-Richtlinien für ihre Verwaltungseinheit zu erstellen und zu verwalten.

Speicherorte

Eine DLP-Richtlinie kann Elemente finden und schützen, die vertrauliche Informationen an mehreren Speicherorten enthalten.

Bereichsdefinition für Exchange-Speicherort

Wenn Sie sich dafür entscheiden, bestimmte Verteilergruppen in Exchange einzuschließen, gilt die DLP-Richtlinie für die E-Mails, die von Mitgliedern dieser Gruppe oder an Mitglieder dieser Gruppe gesendet werden. Ebenso schließt das Ausschließen einer Verteilergruppe alle E-Mails aus, die von den Mitgliedern dieser Verteilergruppe oder von der Richtlinienauswertung gesendet werden.

Berechnung des Exchange-Standortbereichs

Hier sehen Sie ein Beispiel für die Berechnung des Exchange-Standortbereichs:

Angenommen, Sie verfügen über vier Benutzer in Ihrer Organisation und zwei Verteilergruppen, die Sie zum Definieren von Ein- und Ausschlussbereichen für Exchange-Standorte verwenden. Die Gruppenmitgliedschaft wird wie folgt eingerichtet:

Sie können eine Richtlinie auf die Mitglieder von Verteilerlisten, dynamischen Verteilergruppen und Sicherheitsgruppen beschränken. Eine DLP-Richtlinie darf nicht mehr als 50 solche Einschlüsse und Ausschlüsse enthalten.

Eingrenzende OneDrive-Position

Wenn Sie eine Richtlinie für OneDrive-Speicherorte festlegen, können Sie nicht nur Ihre DLP-Richtlinien auf alle Benutzer und Gruppen in Ihrem organization anwenden, sie können den Geltungsbereich einer Richtlinie auf bestimmte Benutzer und Gruppen beschränken. DLP unterstützt Bereichsrichtlinien für bis zu 100 einzelne Benutzer.

Wenn Sie instance mehr als 100 Benutzer einschließen möchten, müssen Sie diese Benutzer zunächst in Verteilergruppen oder Sicherheitsgruppen platzieren. Anschließend können Sie Ihre Richtlinie auf bis zu 50 Gruppen festlegen.

In einigen Fällen können Sie eine Richtlinie auf eine oder zwei Gruppen sowie auf zwei oder drei einzelne Benutzer anwenden, die keiner dieser Gruppen angehören. Hier besteht die bewährte Methode darin, diese zwei oder drei Personen in eine eigene Gruppe einzuteilen. Dies ist die einzige Möglichkeit, um sicherzustellen, dass die Richtlinie auf alle beabsichtigten Benutzer ausgerichtet ist.

Der Grund dafür ist, dass DLP alle angegebenen Benutzer dem Richtlinienbereich hinzufügt, wenn Sie nur Benutzer auflisten. Wenn Sie nur Gruppen hinzufügen, fügt DLP alle Mitglieder aller Gruppen dem Richtlinienbereich hinzu.

Angenommen, Sie verfügen über die folgenden Gruppen und Benutzer:

Wenn Sie den Bereich einer Richtlinie nur auf Benutzer oder nur Gruppen beschränken, wendet die DLP die Richtlinie auf Benutzer an, wie in der folgenden Tabelle dargestellt:

Wenn Benutzer und Gruppen jedoch in der Bereichskonfiguration gemischt werden, wird die Sache kompliziert. Hier ist der Grund: DLP bezieht Richtlinien nur auf Benutzer auf die Schnittmenge der aufgelisteten Gruppen und Benutzer ein.

DLP verwendet die folgende Reihenfolge von Vorgängen, um zu bestimmen, welche Benutzer und Gruppen in den Bereich einbezogen werden sollen:

1. Auswerten der Vereinigung der Gruppenmitgliedschaft
2. Auswerten der Vereinigung von Benutzern
3. Auswerten der Schnittmenge von Gruppenmitgliedern und Benutzern, d. a. an der Stelle, an der sich die Ergebnisse überschneiden

Anschließend wird der Bereich der Richtlinie auf die Schnittmenge von Gruppenmitgliedern und Benutzern angewendet.

Lassen Sie uns unser Beispiel erweitern und mit der gleichen Gruppe von Gruppen arbeiten, und fügen wir User4 hinzu, der sich nicht in einer Gruppe befindet:

In der folgenden Tabelle wird erläutert, wie die Richtlinieneingrenzung in Fällen funktioniert, in denen Benutzer und Gruppen beide in den Bereichsanweisungen enthalten sind.

Gerätebereich

In der Vorschau werden DLP-Richtlinien für Endpunkte nach Benutzern und Geräten festgelegt. Damit eine Endpunktrichtlinie angewendet werden kann, müssen sich sowohl der Benutzer als auch das Gerät im Richtlinienbereich befinden. Dies bedeutet, dass die Richtlinie nicht angewendet wird, wenn sich ein Benutzer im Richtlinienbereich befindet, das Gerät jedoch nicht. Wenn sich ein Gerät im Richtlinienbereich befindet, der Benutzer jedoch nicht, wird die Richtlinie nicht angewendet.

Hier erfahren Sie, wie Sie den Bereich einer DLP-Richtlinie für unterschiedliche Ergebnisse konfigurieren.

Standortunterstützung für die Definition von Inhalten

DLP-Richtlinien erkennen vertrauliche Elemente, indem sie sie einem Vertraulichen Informationstyp (SIT) oder einer Vertraulichkeitsbezeichnung oder Aufbewahrungsbezeichnung zuordnen. Jeder Speicherort unterstützt verschiedene Methoden zum Definieren vertraulicher Inhalte. Wie Inhalte definiert werden können, wenn Sie Speicherorte in einer Richtlinie kombinieren, kann sich ändern, wenn sie auf einen einzelnen Speicherort beschränkt werden können.

DLP unterstützt die Verwendung trainierbarer Klassifizierer als Bedingung zum Erkennen vertraulicher Informationen. Inhalte können durch trainierbare Klassifizierer in Exchange, SharePoint-Websites, OneDrive-Konten, Teams-Chat und -Kanälen, Geräten und nicht verwalteten Cloud-Apps definiert werden. Weitere Informationen finden Sie unter Trainierbare Klassifizierer.

Regeln

Regeln sind die Geschäftslogik von DLP-Richtlinien. Sie bestehen aus:

• Bedingungen , die bei Übereinstimmung die Richtlinie auslösen

• Aktionen , die die enthaltenen Aktivitäten und Ergebnisse einer Übereinstimmung bestimmen.

• Benutzerbenachrichtigungen, um Ihre Benutzer darüber zu informieren, wenn sie etwas tun, das eine Richtlinie auslöst, und um sie darüber zu informieren, wie Ihre organization vertrauliche Informationen behandeln möchte

• Benutzerüberschreibungen , wenn sie von einem Administrator konfiguriert werden, ermöglichen Benutzern das selektive Überschreiben einer blockierenden Aktion

• Incidentberichte , die Administratoren und andere wichtige Projektbeteiligte benachrichtigen, wenn eine Regelübereinstimmung auftritt

• Zusätzliche Optionen , die die Priorität für die Regelauswertung definieren und die weitere Regel- und Richtlinienverarbeitung beenden können.

Eine Richtlinie enthält mindestens eine Regel. Regeln werden der Reihe nach ausgeführt, wobei in jeder Richtlinie mit der Regel mit der höchsten Priorität begonnen wird.

Funktionsweise der DLP-Klassifizierung

DLP wertet ein Element auf vertrauliche Informationen aus, wenn das Element erstellt, gelesen oder geändert wird. Die Auswertung wird auch durch die Bedarfsklassifizierung initiiert. Ereignisse wie dlp rule matched werden jedoch nur im Überwachungsprotokoll oder Aktivitäts-Explorer angezeigt, wenn ein Benutzer versucht, eine Aktivität zu versuchen, die einer DLP-Richtlinie entspricht.

Im Folgenden finden Sie eine Liste einiger Benutzeraktivitäten, die DLP überwachen und aktionen ausführen kann:

• Textupload über den Edge-Browser mit integrierten Funktionen

• Dateiupload über den Edge-Browser mit integrierten Funktionen

• Dateidownload über Edge-Browser mit integrierten Funktionen

• Ausschneiden/Kopieren von Daten über den Edge-Browser mit integrierten Funktionen

• Einfügen von Daten über den Edge-Browser mit integrierten Funktionen

• Drucken von Daten über den Edge-Browser mit integrierten Funktionen

• Drucken von Daten von anderen Speicherorten

• Auf Wechselmedien kopieren

• In Netzwerkfreigabe kopieren

• In Zwischenablage kopieren

• Übertragung über Bluetooth

• Zugriff auf Datei durch eine nicht zulässige App

• Einfügen in andere Browser als Edge

• Drucken von Daten

• Übertragen mithilfe des Remotedesktops

• Ein Element, das erstellt, gelesen oder geändert wird, entspricht einer DLP-Regel und -Richtlinie auf dem Client, wenn die Bedingungen und die Benutzeraktivität erfüllt sind. Dies wird als Dateiaktivität überwacht, z. B. FileRead oder FileRenamed.

• Wenn eine Aktivität erfüllt ist, wird ein DLP-Regelabgleichsereignis im Aktivitäts-Explorer als "DLP Rule Matched"-Ereignis angezeigt. Ein Ereignis, das den Ausgangsmodus beschreibt, wird ebenfalls generiert.

• Richtlinien ergreifen Aktionen, und Aktionen unterscheiden sich von bedingungen. Eine Regel kann für eine Datei übereinstimmen, auch wenn keine Aktionen ausgeführt werden.

Die Priorität, nach der Regeln ausgewertet und angewendet werden

Gehostete Dienststandorte

Für die gehosteten Dienstspeicherorte wie Exchange, SharePoint und OneDrive wird jeder Regel eine Priorität in der Reihenfolge zugewiesen, in der sie erstellt wird. Dies bedeutet, dass die zuerst erstellte Regel die erste Priorität hat, die zweite erstellte Regel die zweite Priorität hat usw.

Wenn Inhalte anhand von Regeln ausgewertet werden, werden diese Regeln in der Reihenfolge ihrer Priorität verarbeitet. Wenn inhalte mehreren Regeln entsprechen, wird die erste ausgewertete Regel mit der restriktivsten Aktion erzwungen. Wenn der Inhalt beispielsweise allen folgenden Regeln entspricht, wird Regel 3 erzwungen, da es sich um die höchste Priorität und restriktivste Regel handelt:

• Regel 1: Benutzer nur benachrichtigen
• Regel 2: Benutzer benachrichtigen, Zugriff beschränken und Benutzeraußerkraftsetzung zulassen
• Regel 3: Benachrichtigt Benutzer, schränkt den Zugriff ein und lässt keine Außerkraftsetzungen von Benutzern zu.
• Regel 4: Schränkt den Zugriff ein

Die Regeln 1, 2 und 4 würden ausgewertet, aber nicht angewendet. In diesem Beispiel werden Übereinstimmungen für alle Regeln in den Überwachungsprotokollen aufgezeichnet und in den DLP-Berichten angezeigt, obwohl nur die restriktivste Regel angewendet wird.

Sie können eine Regel verwenden, um eine bestimmte Schutzanforderung zu erfüllen, und dann in einer DLP-Richtlinie allgemeine Schutzanforderungen in Gruppen zusammenfassen, z. B. alle zur Einhaltung einer bestimmten Vorschrift erforderlichen Regeln.

Angenommen, Sie verfügen über eine DLP-Richtlinie zur Erkennung von Informationen, die dem Health Insurance-Portability and Accountability Act (HIPAA) unterliegen. Diese DLP-Richtlinie könnte dazu beitragen, HIPAA-Daten (das "Was") auf allen SharePoint-Websites und allen OneDrive-Websites (wo) zu schützen, indem sie ein Dokument mit diesen vertraulichen Informationen sucht, das für Personen außerhalb Ihrer organization (die Bedingungen) freigegeben wird, und dann den Zugriff auf das Dokument blockiert und eine Benachrichtigung (die Aktionen) sendet. Diese Anforderungen sind als einzelne Regeln gespeichert und in einer DLP-Richtlinie zusammengefasst, um die Verwaltung und die Berichterstellung zu vereinfachen.

Für Endpunkte

Wenn ein Element mit mehreren DLP-Regeln übereinstimmt, verwendet DLP einen komplexen Algorithmus, um zu entscheiden, welche Aktionen angewendet werden sollen. Endpunkt-DLP wendet das Aggregat oder die Summe der restriktivsten Aktionen an. DLP verwendet diese Faktoren bei der Berechnung.

Reihenfolge der Richtlinienpriorität Wenn ein Element mehreren Richtlinien entspricht und diese Richtlinien identische Aktionen aufweisen, werden die Aktionen der Richtlinie mit der höchsten Priorität angewendet.

Reihenfolge der Regelpriorität Wenn ein Element mehreren Regeln in einer Richtlinie entspricht und diese Regeln identische Aktionen aufweisen, werden die Aktionen der Regel mit der höchsten Priorität angewendet.

Modus der Richtlinie Wenn ein Element mehreren Richtlinien entspricht und diese Richtlinien identische Aktionen aufweisen, werden die Aktionen aller Richtlinien, die sich im Zustand Aktivieren (Erzwingungsmodus) befinden, bevorzugt gegenüber den Richtlinien in Ausführen der Richtlinie im Simulationsmodus mit Richtlinientipps und Richtlinie im Simulationsmodus ausführen angewendet.

Aktion Wenn ein Element mehreren Richtlinien entspricht und sich diese Richtlinien in Aktionen unterscheiden, wird das Aggregat oder die Summe der restriktivsten Aktionen angewendet.

Konfiguration von Autorisierungsgruppen Wenn ein Element mehreren Richtlinien entspricht und sich diese Richtlinien in der Aktion unterscheiden, wird das Aggregat oder die Summe der restriktivsten Aktionen angewendet.

Außerkraftsetzungsoptionen Wenn ein Element mehreren Richtlinien entspricht und sich diese Richtlinien in der Außerkraftsetzungsoption unterscheiden, werden Aktionen in der folgenden Reihenfolge angewendet:

Keine Außerkraftsetzung>Außerkraftsetzung zulassen

Im Folgenden finden Sie Szenarien, die das Laufzeitverhalten veranschaulichen. Für die ersten drei Szenarien haben Sie drei DLP-Richtlinien wie folgt konfiguriert:

Element enthält Guthabennummern Karte

Ein Element auf einem überwachten Gerät enthält Guthaben Karte Nummern, sodass es der Richtlinie ABC und der Richtlinie MNO entspricht. Sowohl ABC als auch MNO befinden sich im Modus Aktivieren .

Das Element enthält Guthaben-Karte-Nummern und US-Sozialversicherungsnummern.

Ein Element auf einem überwachten Gerät enthält Guthaben-Karte-Nummern und US-Sozialversicherungsnummern, sodass dieses Element der Richtlinie ABC, der Richtlinie MNO und der Richtlinie XYZ entspricht. Alle drei Richtlinien befinden sich im Modus Aktivieren .

Element enthält Guthaben Karte Zahlen, unterschiedlichen Richtlinienstatus

Ein Element auf einem überwachten Gerät enthält Guthaben Karte Nummer, sodass es der Richtlinie ABC und der MNO-Richtlinie entspricht. Die Richtlinie ABC befindet sich im Modus Aktivieren, und die Richtlinie MNO befindet sich im Zustand Richtlinie im Simulationsmodus ausführen .

Element enthält Guthaben Karte Zahlen, andere Außerkraftsetzungskonfiguration

Ein Element auf einem überwachten Gerät enthält Guthaben Karte Nummer, sodass es der Richtlinie ABC und der MNO-Richtlinie entspricht. Die Richtlinie ABC befindet sich im Status Aktivieren, und die MNO-Richtlinie befindet sich im Zustand Aktivieren . Für sie sind verschiedene Außerkraftsetzungsaktionen konfiguriert.

Das Element enthält Guthaben Karte Zahlen, verschiedene Konfigurationen für Autorisierungsgruppen.

Ein Element auf einem überwachten Gerät enthält Guthaben Karte Nummer, sodass es der Richtlinie ABC und der MNO-Richtlinie entspricht. Die Richtlinie ABC befindet sich im Status Aktivieren, und die MNO-Richtlinie befindet sich im Zustand Aktivieren . Für sie sind unterschiedliche Autorisierungsgruppenaktionen konfiguriert.

Bedingungen

Unter Bedingungen definieren Sie, wonach die Regel suchen soll, und den Kontext, in dem diese Elemente verwendet werden. Sie sagen der Regel: Wenn Sie ein Element finden, das so aussieht und so verwendet wird , ist es eine Übereinstimmung, und die restlichen Aktionen in der Richtlinie sollten darauf ausgeführt werden. Sie können Bedingungen verwenden, um für unterschiedliche Risikostufen unterschiedliche Aktionen festzulegen. So können beispielsweise intern freigegebene vertrauliche Inhalte einer niedrigeren Risikostufe angehören und somit weniger Aktionen erfordern als vertrauliche Inhalte, die für Personen außerhalb Ihrer Organisation freigegeben sind.

Inhalt enthält

Alle Speicherorte unterstützen die Bedingung Inhalt enthält . Sie können mehrere Instanzen jedes Inhaltstyps auswählen und die Bedingungen weiter verfeinern, indem Sie die Operatoren Any of these (logical OR) oder All of these (logical AND) verwenden:

• Typen vertraulicher Informationen
• Vertraulichkeitsbezeichnungen
• Aufbewahrungsbezeichnungen
• Trainierbare Klassifizierer

Die Regel sucht nur nach dem Vorhandensein von Vertraulichkeitsbezeichnungen und Aufbewahrungsbezeichnungen , die Sie auswählen.

SITs verfügen über einen vordefinierten Konfidenzgrad , den Sie bei Bedarf ändern können. Weitere Informationen finden Sie unter Weitere Informationen zu Zuverlässigkeitsstufen.

Adaptiver Schutz in Microsoft Purview

Der adaptive Schutz integriert Microsoft Purview Insider Risk Management Risikoprofile in DLP-Richtlinien, sodass DLP zum Schutz vor dynamisch identifizierten riskanten Verhaltensweisen beitragen kann. Bei der Konfiguration im Insider-Risikomanagement wird die Insider-Risikostufe für adaptiven Schutz als Bedingung für Exchange Online, Geräte, Teams und nicht verwaltete Cloud-Apps angezeigt. Weitere Informationen finden Sie unter Informationen zum adaptiven Schutz in der Verhinderung von Datenverlust .

Bedingungen, die vom adaptiven Schutz unterstützt werden

• Insider-Risikostufe für adaptiven Schutz ist...

mit den folgenden Werten:

• Erhöhte Risikostufe
• Moderate Risikostufe
• Geringe Risikostufe

Bedingungskontext

Die verfügbaren Kontextoptionen ändern sich je nachdem, welchen Standort Sie auswählen. Wenn Sie mehrere Standorte auswählen, sind nur die Bedingungen verfügbar, die die Standorte gemeinsam haben.

Bedingungen, die Exchange unterstützt

• Inhalt enthält
• Insider-Risikostufe für adaptiven Schutz ist
• Inhalt ist nicht beschriftet
• Inhalte werden von Microsoft 365 freigegeben
• Inhalt wird von empfangen
• IP-Adresse des Absenders lautet
• Kopfzeile enthält Wörter oder Ausdrücke
• Absender-AD-Attribut enthält Wörter oder Ausdrücke
• Inhaltszeichensatz enthält Wörter
• Kopfzeile stimmt mit Mustern überein
• Absender-AD-Attribut entspricht Mustern
• Empfänger-AD-Attribut enthält Wörter oder Ausdrücke
• Empfänger-AD-Attribut entspricht Mustern
• Empfänger ist Mitglied von
• Dokumenteigenschaft lautet
• Der Inhalt einer E-Mail-Anlage konnte nicht vollständig gescannt werden
• Das Dokument oder die Anlage ist kennwortgeschützt.
• Hat den Richtlinientipp vom Absender überschrieben
• Absender ist Mitglied von
• Der Inhalt einer E-Mail-Anlage wurde nicht vollständig gescannt
• Empfängeradresse enthält Wörter
• Die Dateierweiterung ist
• Empfängerdomäne lautet
• Empfänger lautet
• Absender ist
• Absenderdomäne ist
• Empfängeradresse stimmt mit Mustern überein
• Dokumentname enthält Wörter oder Ausdrücke
• Dokumentname entspricht Mustern
• Betreff enthält Wörter oder Ausdrücke
• Betreff stimmt mit Mustern überein
• Betreff oder Text enthält Wörter oder Ausdrücke
• Betreff oder Text entspricht Mustern
• Absenderadresse enthält Wörter
• Absenderadresse stimmt mit Mustern überein
• Dokumentgröße gleich oder größer als
• Dokumentinhalte enthalten Wörter oder Ausdrücke
• Dokumentinhalt stimmt mit Mustern überein
• Die Nachrichtengröße ist gleich oder größer als
• Nachrichtentyp ist
• Nachrichtenpriorität ist

Bedingungen, die Von SharePoint unterstützt werden

• Inhalt enthält
• Inhalte werden von Microsoft 365 freigegeben
• Dokumenteigenschaft lautet
• Dokument konnte nicht gescannt werden
• Das Dokument oder die Anlage ist kennwortgeschützt.
• Dokument hat die Überprüfung nicht abgeschlossen
• Die Dateierweiterung ist
• Dokumentname enthält Wörter oder Ausdrücke
• Dokumentgröße gleich oder größer als
• Dokument erstellt von

Bedingungen OneDrive-Kontenunterstützung

• Inhalt enthält
• Inhalte werden von Microsoft 365 freigegeben
• Dokumenteigenschaft lautet
• Dokument konnte nicht gescannt werden
• Das Dokument oder die Anlage ist kennwortgeschützt.
• Dokument hat die Überprüfung nicht abgeschlossen
• Die Dateierweiterung ist
• Dokumentname enthält Wörter oder Ausdrücke
• Dokumentgröße gleich oder größer als
• Dokument erstellt von
• Dokument wird freigegeben

Bedingungen Support für Chat- und Kanalnachrichten in Teams

• Inhalt enthält
• Insider-Risikostufe für adaptiven Schutz ist
• Inhalte werden von Microsoft 365 freigegeben
• Empfängerdomäne lautet
• Empfänger lautet
• Absender ist
• Absenderdomäne ist

Unterstützung für verwaltete Cloud-Apps mit Bedingungen

• Inhalt enthält
• Die Dateierweiterung ist
• Dokumentgröße gleich oder größer als
• Verwaltete oder nicht verwaltete Geräte (die Aktivitäten zum Ausschneiden/Kopieren von Daten, Einfügen von Daten und Drucken von Daten unterstützen nur die Bedingung verwaltete oder nicht verwaltete Geräte).

Bedingungen: Unterstützung für nicht verwaltete Cloud-Apps

• Inhalt enthält
• Insider-Risikostufe für adaptiven Schutz ist

Für Endpunkte unterstützte Bedingungen

• Inhalt enthält: Gibt den zu erkennenden Inhalt an. Ausführliche Informationen zu unterstützten Dateitypen finden Sie unter Dateien, die auf Inhalt überprüft wurden.

• Inhalt wird nicht bezeichnet: Erkennt Inhalte, auf die keine Vertraulichkeitsbezeichnung angewendet wurde. Um sicherzustellen, dass nur unterstützte Dateitypen erkannt werden, sollten Sie diese Bedingung mit der Dateierweiterung oder Dateityp ist Bedingungen verwenden. PDF- und Office-Dateien werden unterstützt:

  Dateityp	Format	Überwachte Dateierweiterungen
  Textverarbeitung	Word, PDF	.doc, .docx, .docm, .dot, dotx, .dotm, .docb, .pdf
  Kalkulationstabelle	Excel, CSV, TSV	.xls, .xlsx, .xlt, .xlm, .xlsm, xltx, xltm, xlsb, .xlw, .csv, .tsv
  Presentation	PowerPoint	PPT, PPTX, POS, PPS, PPTM, POTX, POTM, PPAM, PPSX

• Das Dokument konnte nicht gescannt werden: Gilt für Dateien, die aus einem der folgenden Gründe nicht gescannt werden können:

  • Die Datei enthält mindestens einen vorübergehenden Textextraktionsfehler.
  • Die Datei ist kennwortgeschützt.
  • Dateigröße überschreitet den unterstützten Grenzwert (Maximale Dateigröße: 64 MB für nicht komprimierte Dateien; 256 MB für komprimierte Dateien)
  • Timeout oder Fehler der Microsoft-Klassifizierungs-Engine (MCE)

• Der Dokumentname enthält Wörter oder Ausdrücke: Erkennt Dokumente mit Dateinamen, die eines der von Ihnen angegebenen Wörter oder Ausdrücke enthalten, z. B.: file, credit card, patent, usw.

• Der Dokumentname stimmt mit Mustern überein: Erkennt Dokumente, bei denen der Dateiname mit bestimmten Mustern übereinstimmt. Bei der Auswertung wird der gesamte Pfad des Dokuments berücksichtigt, nicht nur der Name des Dokuments. Das Muster wird als Zeichenfolgenvergleich überprüft, was bedeutet, dass es mit jedem Teil des Dokumentpfads übereinstimmen kann. Um die Muster zu definieren, verwenden Sie Wildcards. Informationen zu RegEx-Mustern finden Sie hier in der Dokumentation zu regulären Ausdrücken.

• Das Dokument oder die Anlage ist kennwortgeschützt: Erkennt nur geschützte Dateien, die geöffnet sind. Die folgenden Dateien werden unterstützt:
• Archiv Dateien (ZIP, .7z, RAR)
  • Office-Dateien
  • PDFs
  • Symantec PGP-verschlüsselte Dateien

• Die Dokumentgröße ist gleich oder größer als: Erkennt Dokumente mit Dateigrößen, die dem angegebenen Wert entsprechen oder größer sind. DLP unterstützt nur die Inhaltsüberprüfung für Dateien mit weniger als 64 MB.

  Wichtig

  Es wird empfohlen, diese Bedingung festzulegen, um Elemente zu erkennen, die größer als 10 KB sind.

• Dateityp: Erkennt die folgenden Dateitypen:

  Dateityp	Apps	Überwachte Dateierweiterungen
  Textverarbeitung	Word, PDF	doc, .docx, .docm, .dot, dotx, .dotm, .docb, .pdf
  Kalkulationstabelle	Excel, CSV, TSV	.xls, .xlsx, .xlt, .xlm, .xlsm, xltx, xltm, xlsb, .xlw, .csv, .tsv
  Presentation	PowerPoint	PPT, PPTX, POS, PPS, PPTM, POTX, POTM, PPAM, PPSX
  E-Mail	Outlook	.Msg

  Wichtig

  Die Optionen für Dateierweiterungen und Dateitypenkönnen nicht als Bedingungen in derselben Regel verwendet werden. Wenn Sie sie als Bedingungen in derselben Richtlinie verwenden möchten, müssen sie in separaten Regeln enthalten sein.

Um die Bedingung Dateityp ist zu verwenden, müssen Sie über eine der folgenden Versionen von Windows verfügen:

• Windows-Endpunkte (X64):

  • Windows 10 (21H2, 22H2)
    • Details zum Windows 10 21H2-Update
    • Details zum Windows 10 22H2-Update

• Windows-Endpunkte (ARM64):

  • Windows 11 (21H2, 22H2)
    • Details zum Windows 11 21H2-Update
    • Details zum Windows 11 22H2-Update

• Die Dateierweiterung lautet: Zusätzlich zum Erkennen vertraulicher Informationen in Dateien mit denselben Erweiterungen wie die, die von der Bedingung Dateityp ist abgedeckt werden , können Sie die Bedingung Dateierweiterung ist verwenden, um vertrauliche Informationen in Dateien mit jeder Dateierweiterung zu erkennen, die Sie überwachen müssen. Fügen Sie dazu die erforderlichen Dateierweiterungen durch Kommas getrennt zu einer Regel in Ihrer Richtlinie hinzu. Die Dateierweiterung ist Bedingung wird nur für die Versionen von Windows unterstützt, die die Bedingung Dateityp ist unterstützen. Die Dateierweiterung unterstützt keine Archivdateitypen.

  Warnung

  Das Einschließen einer der folgenden Dateierweiterungen in Ihre Richtlinienregeln kann die CPU-Last erheblich erhöhen: .dll, .exe, .mui, .ost, .pf, .pst.

• Die Überprüfung wurde nicht abgeschlossen: Gilt, wenn die Überprüfung einer Datei gestartet wurde, aber beendet wurde, bevor die gesamte Datei gescannt wurde. Der Hauptgrund für eine unvollständige Überprüfung ist, dass extrahierter Text in der Datei die zulässige maximal zulässige Größe überschreitet. (Maximale Größe für extrahierten Text: Unkomprimierte Dateien: Die ersten 4 MB des extrahierenden Texts; Komprimierte Dateien: N=1000 / Extraktionszeit = 5 Minuten.)

• Die Dokumenteigenschaft lautet: Erkennt Dokumente mit benutzerdefinierten Eigenschaften, die mit angegebenen Werten übereinstimmen. Beispiel: Department = 'Marketing', Project = 'Secret'. Verwenden Sie doppelte Anführungszeichen, um mehrere Werte für eine benutzerdefinierte Eigenschaft anzugeben. Beispiel: "Department: Marketing, Sales". Unterstützte Dateitypen sind Office und PDF:

  Dateityp	Format	Überwachte Dateierweiterungen
  Textverarbeitung	Word, PDF	.doc, .docx, .docm, .dot, dotx, .dotm, .docb, .pdf
  Kalkulationstabelle	Excel, CSV, TSV	.xls, .xlsx, .xlt, .xlm, .xlsm, xltx, xltm, xlsb, .xlw, .csv, .tsv
  Presentation	PowerPoint	PPT, PPTX, POS, PPS, PPTM, POTX, POTM, PPAM, PPSX

• Der Benutzer hat über Microsoft Edge auf eine sensible Website zugegriffen: Weitere Informationen finden Sie unter Szenario 6: Überwachen oder Einschränken von Benutzeraktivitäten in sensiblen Dienstdomänen (Vorschau).

• Die Insider-Risikostufe für adaptiven Schutz lautet: Erkennt die Insider-Risikostufe.

Weitere Informationen finden Sie unter Endpunktaktivitäten, die Sie überwachen und maßnahmen können.

Betriebssystemanforderungen für fünf Bedingungen

• Dokument konnte nicht gescannt werden
• Dokumentname enthält Wörter oder Ausdrücke
• Dokumentname entspricht Mustern
• Dokumentgröße gleich oder größer als
• Die Überprüfung wurde nicht abgeschlossen.

Um eine dieser Bedingungen verwenden zu können, muss auf Ihren Endpunktgeräten eines der folgenden Betriebssysteme ausgeführt werden:

• Windows 11 23H2:4. Dezember 2023 – KB5032288 (BS-Builds 22621.2792 und 22631.2792) Vorschau

• Windows 11 22H2:4. Dezember 2023 – KB5032288 (BS-Builds 22621.2792 und 22631.2792) Vorschau – Microsoft-Support

• Windows 11 21H2:12. Dezember 2023 – KB5033369 (BS-Build 22000.2652) – Microsoft-Support

• Windows 10 22H2:30. November 2023 – KB5032278 (BS-Build 19045.3758) Vorschau – Microsoft-Support

• Windows 10 21H2:30. November 2023 – KB5032278 (BS-Build 19045.3758) Vorschau – Microsoft-Support

• Windows Server 2022/2019:14. November 2023 – KB5032198 (BS-Build 20348.2113) – Microsoft-Support (oder höher)

Betriebssystemanforderungen für die Bedingung "Document Property is"

• Windows 11:29. Februar 2024 – KB5034848 (BS-Builds 22621.3235 und 22631.3235) Vorschau – Microsoft-Support (oder höher)

• Windows 10:29. Februar 2024 – KB5034843 (BS-Build 19045.4123) Vorschau – Microsoft-Support (oder höher)

Bedingungsinstanzen unterstützen

• Inhalt enthält
• Inhalte werden von Microsoft 365 freigegeben

Bedingungen Unterstützung für lokale Repositorys

• Inhalt enthält
• Die Dateierweiterung ist
• Dokumenteigenschaft lautet

Fabric- und Power BI-Unterstützung für Bedingungen

• Inhalt enthält

Bedingungen Microsoft 365 Copilot unterstützt

Diese Funktion ist in der Vorschauphase.

• Inhalt enthält (Vertraulichkeitsbezeichnungen)

Bedingungsgruppen

Manchmal benötigen Sie eine Regel, um nur eine Sache zu identifizieren, z. B. alle Inhalte, die eine US-Sozialversicherungsnummer enthalten, die durch eine einzelne SIT definiert wird. In vielen Szenarien, in denen die Typen von Elementen, die Sie identifizieren möchten, komplexer und daher schwieriger zu definieren sind, ist mehr Flexibilität beim Definieren von Bedingungen erforderlich.

Wenn beispielsweise Inhalte identifiziert werden sollen, die dem Health Insurance Act (HIPAA) der USA unterliegen, muss nach folgenden Inhalten gesucht werden:

• Inhalte, die bestimmte Arten von vertraulichen Informationen enthalten, z. B. eine deutsche Sozialversicherungsnummer oder eine DEA-Nummer (Drug Enforcement Agency, Drogenvollzugsbehörde).

  UND

• Inhalte, die schwieriger zu erkennen sind, z. B. Schriftstücke über die Pflege eines Patienten oder mit Beschreibungen der geleisteten medizinischen Dienste. Zum Identifizieren dieses Inhalts sind übereinstimmende Schlüsselwörter aus großen Schlüsselwortlisten erforderlich, z. B. die internationale Klassifizierung von Krankheiten (ICD-9-CM oder ICD-10-CM).

Sie können diese Art von Daten identifizieren, indem Sie Bedingungen gruppieren und logische Operatoren (AND, OR) zwischen den Gruppen verwenden.

Für den U.S. Health Insurance Act (HIPAA) sind die Bedingungen wie folgt gruppiert:

Die erste Gruppe enthält die SITs, die eine Person identifizieren, und die zweite Gruppe enthält die SITs, die die medizinische Diagnose identifizieren.

Bedingungen können nach booleschen Operatoren (AND, OR, NOT) gruppiert und verknüpft werden, sodass Sie eine Regel definieren, indem Sie angeben, was eingeschlossen werden soll, und dann Ausschlüsse in einer anderen Gruppe definieren, die zuerst durch ein NOT-Element mit der verknüpft wird. Weitere Informationen dazu, wie Purview DLP boolesche Und geschachtelte Gruppen implementiert, finden Sie unter Entwurf komplexer Regeln.

Einschränkungen der DLP-Plattform für Bedingungen

Actions

Jedes Element, das den Bedingungsfilter durchläuft, verfügt über alle Aktionen , die in der darauf angewendeten Regel definiert sind. Sie müssen die erforderlichen Optionen konfigurieren, um die Aktion zu unterstützen. Wenn Sie beispielsweise Exchange mit der Aktion Zugriff einschränken oder Inhalt an Microsoft 365-Speicherorten verschlüsseln auswählen, müssen Sie eine der folgenden Optionen auswählen:

• Blockieren des Zugriffs auf freigegebene SharePoint-, OneDrive- und Teams-Inhalte durch Benutzer
  • Alle blockieren. Nur der Inhaltsbesitzer, der letzte Modifizierer und der Websiteadministrator haben weiterhin Zugriff.
  • Blockieren Sie nur Personen von außerhalb Ihrer organization. Benutzer in Ihrem organization weiterhin Zugriff haben.
• E-Mail-Nachrichten verschlüsseln (gilt nur für Inhalte in Exchange)

Welche Aktionen in einer Regel verfügbar sind, hängt von den ausgewählten Speicherorten ab. Die verfügbaren Aktionen für jeden einzelnen Standort sind unten aufgeführt.

Unterstützte Aktionen: Exchange

Wenn DLP-Richtlinienregeln in Exchange angewendet werden, werden sie möglicherweise angehalten, nicht angehalten oder keines von beiden. Die meisten von Exchange unterstützten Regeln sind nicht angehalten. Nicht angehaltene Aktionen werden nach der Verarbeitung der nachfolgenden Regeln und Richtlinien angewendet.

DLP-Aktionen werden für eingehende verschlüsselte E-Mails ausgeführt, die sich im Geltungsbereich einer Richtlinie befinden, z. B. blockieren, aber um die Vertraulichkeit der Verschlüsselung zu wahren, wird das Ereignis nicht in Activity Explorer oder in der Warnung angezeigt, und der Inhalt der Nachricht ist für niemanden außer dem Empfänger zugänglich.

Wenn jedoch eine angehaltene Aktion durch eine DLP-Richtlinienregel ausgelöst wird, beendet Purview die Verarbeitung aller nachfolgenden Regeln. Wenn instance die Aktion Zugriff einschränken oder Inhalte an Microsoft 365-Speicherorten verschlüsseln ausgelöst wird, werden keine weiteren Regeln oder Richtlinien verarbeitet.

Wenn eine Aktion weder angehalten noch nicht angehalten wird, wartet Purview auf das Ergebnis der Aktion, bevor der Vorgang fortgesetzt wird. Wenn also eine ausgehende E-Mail die Aktion Nachricht zur Genehmigung an den Vorgesetzten des Absenders weiterleiten auslöst, wartet Purview darauf, die Entscheidung des Vorgesetzten zu erhalten, ob die E-Mail gesendet werden darf. Wenn der Vorgesetzte dies genehmigt, verhält sich die Aktion wie eine aktion, die nicht angehalten wird, und die nachfolgenden Regeln werden verarbeitet. Wenn der Vorgesetzte dagegen das Senden der E-Mail ablehnt, verhält sich die Nachricht zur Genehmigung an den Vorgesetzten des Absenders zur Genehmigung weiterleiten wie eine angehaltene Aktion und blockiert das Senden der E-Mail. es werden keine nachfolgenden Regeln oder Richtlinien verarbeitet.

In der folgenden Tabelle sind die Aktionen aufgeführt, die Von Exchange unterstützt werden, und gibt an, ob sie angehalten oder nicht angehalten werden.

Weitere Informationen zu den von Exchange unterstützten Aktionen, einschließlich PowerShell-Werten, finden Sie unter: Referenz zu Exchange-Bedingungen und -Aktionen zur Verhinderung von Datenverlust.

Unterstützte Aktionen: SharePoint

• Einschränken des Zugriffs oder Verschlüsseln des Inhalts an Microsoft 365-Speicherorten

Unterstützte Aktionen: OneDrive

• Einschränken des Zugriffs oder Verschlüsseln des Inhalts an Microsoft 365-Speicherorten

Unterstützte Aktionen: Teams Chat und Kanalnachrichten

• Einschränken des Zugriffs oder Verschlüsseln des Inhalts an Microsoft 365-Speicherorten

Unterstützte Aktionen: Geräte

Der Standort Geräte unterstützt die folgenden Aktionen:

• Einschränken des Zugriffs oder Verschlüsseln des Inhalts an Microsoft 365-Speicherorten
  • Blockieren, dass Benutzer E-Mails empfangen oder auf freigegebene SharePoint-, OneDrive-, Teams-Dateien und Power BI-Elemente zugreifen können
• Überwachen oder Einschränken von Aktivitäten, wenn Benutzer auf vertrauliche Websites in Microsoft Edge-Browsern auf Windows-Geräten zugreifen
  • Einschränkungen für vertrauliche Websites
• Überwachen oder Einschränken von Aktivitäten auf Geräten
  • Hochladen in eine eingeschränkte Clouddienstdomäne oder Zugriffe aus einem nicht zulässigen Browser
  • Einfügen in unterstützte Browser
• Dateiaktivitäten für alle Apps
  • In Zwischenablage kopieren
  • Auf usb-wechselbares Gerät kopieren
  • Auf eine Netzwerkfreigabe kopieren
  • Drucken
  • Kopieren oder Verschieben mit einer nicht zulässigen Bluetooth-App
  • Kopieren oder Verschieben mithilfe von RDP
  • Dateiaktivitäten für Apps in eingeschränkten App-Gruppen
  • App-Zugriffseinschränkungen
    • Zugriff durch eingeschränkte Apps
    • Zugriff durch Apps, die nicht in der Liste eingeschränkter Apps enthalten sind, oder von eingeschränkten App-Gruppen, die der Regel hinzugefügt wurden
    • in der Vorschau Einschränkungen beim Windows-Rückruf auf Copilot+-PCs
    • Anwenden von Einschränkungen nur auf nicht unterstützte Dateierweiterungen Starten eines Power Automate-Flows

Sie können DLP anweisen, diese Benutzeraktivitäten für integrierte Windows-Geräte zuzulassen, nur überwachen, mit Außerkraftsetzung blockieren oder Blockieren (die Aktionen).

Sie können DLP anweisen, diese Benutzeraktivitäten für integrierte macOS-Geräte nur überwachen, mit Außerkraftsetzung blockieren oder blockieren (die Aktionen).

• Blockieren: Benutzerbezogene Aktivitäten werden blockiert, und die Überwachung ist aktiviert. Administratoren werden optional Warnungen angezeigt.

• Blockieren mit Außerkraftsetzung: Diese Option fungiert als Standardblock, ermöglicht benutzern jedoch die Umgehung. Durch Klicken auf die Schaltfläche "Zulassen" in der Popupbenachrichtigung oder auf die Schaltfläche "OK" in der Microsoft Edge-Benachrichtigung können Benutzer fortfahren. Sobald die Endpunkt-DLP zugelassen ist, wird sie automatisch für Aktionen wie "Auf Netzwerkfreigabe kopieren", "Auf ein USB-Wechselmedium kopieren" und "Drucken" fortgesetzt. Bei anderen Aktionen müssen Benutzer den Vorgang wiederholen, nachdem sie auf "Zulassen" geklickt haben, um die Richtlinie zu umgehen.

• Überwachung: Keine Blockierung von Aktivitäten, aber die Überwachung ist aktiviert, und Administratoren werden optional Warnungen angezeigt.

• Zulassen: Aktivitäten sind zulässig, ohne Warnungen auszulösen, aber die Überwachung ist weiterhin aktiviert.

• Aus: Keine Blockierung oder Überwachung von Aktivitäten.

Unterstützte Aktionen: Verwaltete Cloud-Apps

Sie können DLP für Benutzeraktivitäten in verwalteten Cloud-Apps auf Windows- und macOS-Geräten anweisen, nur überwachen oder blockieren (die Aktionen).

Unterstützte Aktionen: Nicht verwaltete Cloud-Apps

Sie können DLP für Benutzeraktivitäten in nicht verwalteten Cloud-Apps unter Windows anweisen, nur überwachen oder blockieren (die Aktionen).

Weitere Informationen zu unterstützten Aktionen

Weitere Informationen zu Aktionen finden Sie hier:

• Einschränken des Zugriffs oder Verschlüsseln von Inhalten an Microsoft 365-Standorten
• Überwachen oder Einschränken von Aktivitäten, wenn Benutzer auf vertrauliche Websites in Microsoft Edge-Browsern auf Windows-Geräten zugreifen
• Überwachen oder Einschränken von Aktivitäten auf Geräten
• Dienstdomänen- und Browseraktivitäten
• Dateiaktivitäten für alle Apps
• Eingeschränkte App-Aktivitäten
• Dateiaktivitäten für Apps in eingeschränkten App-Gruppen

Einschränken des Zugriffs oder Verschlüsseln von Inhalten an Microsoft 365-Standorten

Verwenden Sie diese Option, um zu verhindern, dass Benutzer E-Mails empfangen oder auf freigegebene SharePoint-, OneDrive-, Teams-Dateien und Power BI-Elemente zugreifen können. Diese Aktion kann jeden blockieren oder nur Personen blockieren, die sich außerhalb Ihrer organization befinden.

Überwachen oder Einschränken von Aktivitäten, wenn Benutzer auf vertrauliche Websites in Microsoft Edge-Browsern auf Windows-Geräten zugreifen

Verwenden Sie diese Aktion, um zu steuern, wann Benutzer folgendes versuchen:

Überwachen oder Einschränken von Aktivitäten auf Geräten

Verwenden Sie dies, um Benutzeraktivitäten nach Dienstdomänen- und Browseraktivitäten, Dateiaktivitäten für alle Apps und eingeschränkten App-Aktivitäten einzuschränken. Um Aktivitäten auf Geräten überwachen oder einschränken zu können, müssen Sie Optionen in den DLP-Einstellungen und in der Richtlinie konfigurieren, in der Sie sie verwenden möchten. Weitere Informationen finden Sie unter Eingeschränkte Apps und App-Gruppen .

Für DLP-Regeln mit der Aktion Überwachen oder Einschränken von Aktivitäten auf Geräten kann Blockieren mit Außerkraftsetzung konfiguriert sein. Wenn diese Regel auf eine Datei angewendet wird, wird jeder Versuch, eine eingeschränkte Aktion für die Datei auszuführen, blockiert. Es wird eine Benachrichtigung mit der Option zum Überschreiben der Einschränkung angezeigt. Wenn der Benutzer sich für das Überschreiben entscheidet, ist die Aktion für einen Zeitraum von einer Minute zulässig, während derer der Benutzer die Aktion ohne Einschränkung wiederholen kann. Eine Ausnahme von diesem Verhalten besteht darin, dass eine vertrauliche Datei gezogen und in Microsoft Edge abgelegt wird. Dadurch wird die Datei sofort angefügt, wenn die Regel überschrieben wird.

Dienstdomänen- und Browseraktivitäten

Wenn Sie die Liste Zulassen/Blockieren von Clouddienstdomänen und nicht zugelassenen Browsern konfigurieren (siehe Browser- und Domäneneinschränkungen für vertrauliche Daten), und ein Benutzer versucht, eine geschützte Datei in eine Clouddienstdomäne hochzuladen oder über einen nicht zugelassenen Browser darauf zuzugreifen, können Sie die Richtlinienaktion auf Audit only, Block with overrideoder Block die Aktivität konfigurieren.

Einschränkungen beim Einfügen in Den Browser

Aufgrund der Tatsache, dass die Regeln nur für die Zwischenablagedaten ausgewertet werden, können nur bestimmte Regelbedingungen mit In Browser einfügen-Ereignissen verwendet werden. In Browser einfügen wird nicht basierend darauf ausgewertet, woher der Text kopiert wird.

Regelbedingungen, die mit In Browser einfügen funktionieren:

• Inhalt enthält
• Inhalt ist nicht beschriftet

Zusätzliche Hinweise:

• In Browser einfügen unterstützt SITs, keine Vertraulichkeitsbezeichnungen.
• In Browser einfügen wertet keinen Text aus, der kleiner als 30 Zeichen ist.
• Die erweiterte Klassifizierung wird nicht unterstützt.
• Kontextzusammenfassung wird für In Browser einfügen-Ereignisse nicht angezeigt.
• In Browser einfügen dauert 2 Sekunden, bis die Auswertung erfolgt, bevor die Einfügeaktion zugelassen wird.
• WENN JIT so konfiguriert ist, dass beim Fallback blockiert wird, wird das Einfügen blockiert.
• In Browser einfügen klassifiziert nur die ersten 4 MB Text aus der Zwischenablage.

Dateiaktivitäten für alle Apps

Wählen Sie bei der Option Dateiaktivitäten für alle Apps entweder Dateiaktivitäten nicht einschränken oder Einschränkungen auf bestimmte Aktivitäten anwenden aus. Wenn Sie Einschränkungen auf bestimmte Aktivitäten anwenden auswählen, werden die hier ausgewählten Aktionen angewendet, wenn ein Benutzer auf ein DLP-geschütztes Element zugegriffen hat.

Eingeschränkte App-Aktivitäten

Zuvor als Nicht zugelassene Apps bezeichnet, sind eingeschränkte App-Aktivitäten Apps, für die Sie Einschränkungen festlegen möchten. Sie definieren diese Apps in einer Liste in den Endpunkt-DLP-Einstellungen. Wenn ein Benutzer versucht, mithilfe einer App, die in der Liste enthalten ist, auf eine DLP-geschützte Datei zuzugreifen, können Sie entweder Audit only, Block with overrideoder Block die Aktivität ausführen. DLP-Aktionen, die in Eingeschränkte App-Aktivitäten definiert sind, werden überschrieben, wenn die App Mitglied der eingeschränkten App-Gruppe ist. Anschließend werden die in der eingeschränkten App-Gruppe definierten Aktionen angewendet.

Dateiaktivitäten für Apps in eingeschränkten App-Gruppen

Sie definieren Ihre eingeschränkten App-Gruppen in den Endpunkt-DLP-Einstellungen und fügen Ihren Richtlinien eingeschränkte App-Gruppen hinzu. Wenn Sie einer Richtlinie eine eingeschränkte App-Gruppe hinzufügen, müssen Sie eine der folgenden Optionen auswählen:

• Dateiaktivität nicht einschränken
• Anwenden von Einschränkungen auf alle Aktivitäten
• Anwenden von Einschränkungen auf bestimmte Aktivitäten

Wenn Sie eine der Optionen Einschränkungen anwenden auswählen und ein Benutzer versucht, mithilfe einer App, die sich in der eingeschränkten App-Gruppe befindet, auf eine DLP-geschützte Datei zuzugreifen, können Sie entweder Audit only, Block with overrideoder Block nach Aktivität ausführen. DLP-Aktionen, die Sie hier definieren, setzen Aktionen außer Kraft, die in Eingeschränkte App-Aktivitäten und Dateiaktivitäten für alle Apps für die App definiert sind.

Weitere Informationen finden Sie unter Eingeschränkte Apps und App-Gruppen.

Instanzenaktionen

• Einschränken des Zugriffs oder Verschlüsseln des Inhalts an Microsoft 365-Speicherorten
• Einschränken von Drittanbieter-Apps

Aktionen für lokale Repositorys

• Schränken Sie den Zugriff ein, oder entfernen Sie lokale Dateien.
  • Blockieren des Zugriffs auf Dateien, die in lokalen Repositorys gespeichert sind
  • Festlegen von Berechtigungen für die Datei (Berechtigungen, die vom übergeordneten Ordner geerbt werden)
  • Verschieben einer Datei aus dem Speicherort in einen Quarantäneordner

Ausführliche Informationen finden Sie unter Aktionen für lokale DLP-Repositorys .

Fabric- und Power BI-Aktionen

• Benutzer per E-Mail und mit Richtlinientipps benachrichtigen
• Senden von Warnungen an den Administrator
• Zugriff einschränken auf

Microsoft 365 Copilot Aktionen

Diese Funktion ist in der Vorschauphase.

• Ausschließen von Inhalten am Speicherort

Aktionen für verwaltete Cloud-Apps

• Einschränken von Browser- und Netzwerkaktivitäten

Aktionen für nicht verwaltete Cloud-Apps

• Einschränken von Browser- und Netzwerkaktivitäten

Verfügbare Aktionen beim Kombinieren von Standorten

Wenn Sie Exchange und einen anderen einzelnen Speicherort für die Richtlinie auswählen, auf die angewendet werden soll,

• Beschränken Sie den Zugriff, oder verschlüsseln Sie den Inhalt an Microsoft 365-Speicherorten, und alle Aktionen für die Nicht-Exchange-Standortaktionen sind verfügbar.

Wenn Sie zwei oder mehr Nicht-Exchange-Speicherorte für die Richtlinie auswählen, auf die angewendet werden soll,

• Beschränken Sie den Zugriff oder verschlüsseln Sie den Inhalt an Microsoft 365-Speicherorten, und alle Aktionen für Nicht-Exchange-Speicherorte sind verfügbar.

Wenn Sie beispielsweise die Speicherorte Exchange und Geräte auswählen, sind diese Aktionen verfügbar:

• Einschränken des Zugriffs oder Verschlüsseln des Inhalts an Microsoft 365-Speicherorten
• Überwachen oder Einschränken von Aktivitäten auf Windows-Geräten

Wenn Sie Geräte und Instanzen auswählen, sind diese Aktionen verfügbar:

• Einschränken des Zugriffs oder Verschlüsseln des Inhalts an Microsoft 365-Speicherorten
• Überwachen oder Einschränken von Aktivitäten auf Windows-Geräten
• Einschränken von Drittanbieter-Apps

Ob eine Aktion wirksam wird oder nicht, hängt davon ab, wie Sie den Modus der Richtlinie konfigurieren. Sie können die Richtlinie im Simulationsmodus mit oder ohne Anzeige des Richtlinientipps ausführen, indem Sie die Option Richtlinie im Simulationsmodus ausführen auswählen. Sie können die Richtlinie eine Stunde nach der Erstellung ausführen, indem Sie die Option Sofort aktivieren auswählen, oder Sie können sie einfach speichern und später zurückkehren, indem Sie die Option Keep it off auswählen.

Einschränkungen der DLP-Plattform für Aktionen

Benutzerbenachrichtigungen und Richtlinientipps

Wenn ein Benutzer versucht, eine Aktivität für ein vertrauliches Element in einem Kontext auszuführen, der die Bedingungen einer Regel erfüllt (z. B. Inhalte wie eine Excel-Arbeitsmappe auf einer OneDrive-Website, die personenbezogene Daten (PII) enthält und für einen Gast freigegeben wird), können Sie ihn über Benutzerbenachrichtigungs-E-Mails und Kontextbezogene Richtlinientipp-Popups darüber informieren. Diese Benachrichtigungen sind nützlich, da sie das Bewusstsein erhöhen und dazu beitragen, die Benutzer über die DLP-Richtlinien Ihrer organization aufzuklären.

Eine Warnungs-E-Mail, eine Incidentbericht-E-Mail und eine Benutzerbenachrichtigung werden nur einmal pro Dokument gesendet. Wenn ein Dokument mit der Bedingung "Inhalt ist freigegeben" zweimal freigegeben wird, gibt es immer noch nur eine Benachrichtigung.

unterstützung für Email Benachrichtigungen nach ausgewähltem Standort

Sie können Benutzern auch die Möglichkeit geben, die Richtlinie zu überschreiben, damit sie nicht blockiert werden, wenn sie einen gültigen geschäftlichen Bedarf haben oder wenn die Richtlinie ein falsch positives Ergebnis erkennt.

Konfigurationsoptionen für Richtlinientipps und Benutzerbenachrichtigungen

Die Konfigurationsoptionen für Benutzerbenachrichtigungen und Richtlinientipps variieren je nach ausgewählten Überwachungsstandorten. Wenn Sie folgendes ausgewählt haben:

• Exchange
• SharePoint
• OneDrive
• Teams-Chat und -Kanal
• Instanzen

Sie können Benutzerbenachrichtigungen für verschiedene Microsoft-Apps aktivieren/deaktivieren. Weitere Informationen finden Sie unter Richtlinientipps zur Verhinderung von Datenverlust.

Sie können Benachrichtigungen auch mit einem Richtlinientipp aktivieren/deaktivieren.

• E-Mail-Benachrichtigungen an den Benutzer, der den Inhalt gesendet, freigegeben oder zuletzt geändert hat ODER
• bestimmte Personen benachrichtigen

Darüber hinaus können Sie den E-Mail-Text, den Betreff und den Richtlinientipptext anpassen.

Ausführliche Informationen zum Anpassen von E-Mails für Endbenutzerbenachrichtigungen finden Sie unter Benutzerdefinierte E-Mail-Benachrichtigungen.

Wenn Sie Nur Geräte ausgewählt haben, erhalten Sie alle optionen, die für Exchange, SharePoint, OneDrive, Teams Chat und Channel und Instanzen verfügbar sind, sowie die Option zum Anpassen des Benachrichtigungstitels und des Inhalts sowie zum Hinzufügen eines Links in Form einer Schaltfläche Support anfordern, die auf dem Windows 10/11-Gerät angezeigt wird.

Zeichenbeschränkungen für benutzerdefinierte Richtlinientippbenachrichtigungen

Richtlinientippbenachrichtigungen unterliegen den folgenden Zeichenbeschränkungen:

Hyperlink hat keine Zeichenbeschränkung, ist aber auf den verbleibenden verfügbaren Speicherplatz im gesamten DLP-Paket beschränkt. Der Link muss eine auflösbare URL sein, und er wird hinter einem auswählbaren Steuerelement abstrahiert. Der Link "Weitere Informationen" ist in Microsoft 365 Office-Apps verfügbar.

Sie können den Titel und textkörper des Texts mithilfe der folgenden Parameter anpassen.

%%AppliedActions%% ersetzt diese Werte im Nachrichtentext:

Verwenden dieses benutzerdefinierten Texts

%%AppliedActions%% Dateiname %%%FileName%% via %%%ProcessName%% ist von Ihrem organization nicht zulässig. Wählen Sie "Zulassen" aus, wenn Sie die Richtlinie %%PolicyName%% umgehen möchten.

erzeugt diesen Text in der angepassten Benachrichtigung:

Einfügen aus der Zwischenablage Dateiname: Contoso-Dokument 1 über WINWORD.EXE ist von Ihrem organization nicht zulässig. Wählen Sie die Schaltfläche "Zulassen" aus, wenn Sie die Richtlinie "Contoso streng vertraulich" umgehen möchten.

Sie können Ihre tipps für benutzerdefinierte Richtlinien mithilfe des Cmdlets Set-DlpComplianceRule -NotifyPolicyTipCustomTextTranslations lokalisieren.

Benutzerdefinierte Richtlinientipps werden für die restriktivste Regel angezeigt, nicht unbedingt die Regel, die die Einschränkung ausführt.

Weitere Informationen zur Konfiguration und Verwendung von Benutzerbenachrichtigungen und Richtlinientipps, einschließlich der Anpassung des Benachrichtigungs- und Tipptexts, finden Sie unter Senden von E-Mail-Benachrichtigungen und Anzeigen von Richtlinientipps für DLP-Richtlinien.

Überlegungen zu Richtlinientipps

• Richtlinientipps werden nicht generiert, wenn sich die Vertraulichkeitsbezeichnungen in einer komprimierten Datei befinden.
• DLP hat Schwierigkeiten beim Generieren von Richtlinientipps für verschlüsselte Dateien.

Verweise auf Richtlinientipps

Details zur Unterstützung von Richtlinientipps und Benachrichtigungen für verschiedene Apps finden Sie hier:

• Richtlinientippreferenz zur Verhinderung von Datenverlust für Outlook für Microsoft 365
• Richtlinientippreferenz zur Verhinderung von Datenverlust für Outlook im Web
• Richtlinientipp zur Verhinderung von Datenverlust verweisen auf SharePoint in Microsoft 365 und OneDrive. Webclient

Blockieren von Benutzern in Exchange

Blockieren und Benachrichtigungen in SharePoint in Microsoft 365 und OneDrive

Die folgende Tabelle zeigt das DLP-Blockierungs- und Benachrichtigungsverhalten für Richtlinien, die auf SharePoint in Microsoft 365 und OneDrive festgelegt sind. Dies ist keine vollständige Liste, und es gibt weitere Einstellungen, die nicht in diesem Artikel enthalten sind.

Weitere Informationen url

Benutzer möchten möglicherweise erfahren, warum ihre Aktivitäten blockiert werden. Sie können eine Website oder eine Seite konfigurieren, auf der mehr über Ihre Richtlinien erläutert wird. Wenn Sie Eine Konformitäts-URL für den Endbenutzer angeben auswählen, um mehr über die Richtlinien Ihrer organization zu erfahren (nur für Exchange verfügbar) und der Benutzer eine Richtlinientippbenachrichtigung in Outlook Win32 erhält, verweist der Link Weitere Informationen auf die von Ihnen bereitgestellte Website-URL. Diese URL hat Vorrang vor der globalen Compliance-URL, die mit Set-PolicyConfig -ComplainceURL konfiguriert ist.

Benutzeraußerkraftsetzungen

Die Absicht von Benutzerüberschreibungen besteht darin, Benutzern eine Möglichkeit zu geben, aktionen, die DLP-Richtlinien blockierende Aktionen für vertrauliche Elemente in Exchange, SharePoint, OneDrive oder Teams mit Rechtfertigung zu umgehen, damit sie ihre Arbeit fortsetzen können. Benutzerüberschreibungen sind nur aktiviert, wenn Benutzer in Office 365 Diensten mit einem Richtlinientipp benachrichtigen aktiviert ist, sodass Benutzerüberschreibungen mit Benachrichtigungen und Richtlinientipps Hand in Hand gehen.

In der Regel sind Benutzerüberschreibungen nützlich, wenn Ihr organization zum ersten Mal eine Richtlinie ausrollt. Das Feedback, das Sie aus allen Überschreibungsbegründungen und der Identifizierung falsch positiver Ergebnisse erhalten, hilft bei der Optimierung der Richtlinie.

• Wenn die Richtlinientipps in der restriktivsten Regel Benutzern erlauben, die Regel außer Kraft zu setzen, werden dadurch auch alle anderen Regeln überschrieben, die für den Inhalt gelten.

Benutzer-Außerkraftsetzungsverhalten

Wenn ein Benutzer die Option Zulassen auswählt, um eine Blockierungsaktion für diese Aktivitäten zu überschreiben:

• Print
• Kopieren auf ein USB-Wechselgerät
• Auf eine Netzwerkfreigabe kopieren

innerhalb von 30 Sekunden nach dem Anzeigen der Popupbenachrichtigung kann die Aktivität fortgesetzt werden. Wenn der Benutzer die Option Zulassen nicht innerhalb von 30 Sekunden auswählt, wird die Aktivität blockiert.

Für alle anderen Aktivitäten muss der Benutzer die Aktivität wiederholen, nachdem er die Option Zulassen ausgewählt hat, damit sie abgeschlossen wird.

Geschäftliche Begründung X-Header

Wenn ein Benutzer einen Block mit einer Außerkraftsetzungsaktion für eine E-Mail überschreibt, werden die Außerkraftsetzungsoption und der von ihnen bereitgestellte Text im Überwachungsprotokoll und im E-Mail-X-Header gespeichert. Um die Außerkraftsetzungen der geschäftlichen Begründung anzuzeigen, durchsuchen Sie das ÜberwachungsprotokollExceptionInfo nach einem Wert für die Details. Hier sehen Sie ein Beispiel für die Überwachungsprotokollwerte:

{
    "FalsePositive"; false,
    "Justification"; My manager approved sharing of this content",
    "Reason"; "Override",
    "Rules": [
         "<message guid>"
    ]
}

Wenn Sie über einen automatisierten Prozess verfügen, der die Werte für die geschäftliche Begründung verwendet, kann der Prozess programmgesteuert auf diese Informationen in den X-Headerdaten der E-Mail zugreifen.

Schadensberichte

Wenn eine Regel abgeglichen wird, können Sie eine Warnungs-E-Mail mit Details zum Ereignis an Ihren Compliance Officer (oder eine beliebige von Ihnen ausgewählte Personen) senden, die Sie im Microsoft Purview Data Loss Prevention Warnungen Dashboard und im Microsoft 365 Defender-Portal anzeigen können. Eine Warnung enthält Informationen zu dem element, das abgeglichen wurde, den tatsächlichen Inhalt, der mit der Regel übereinstimmt, und den Namen der Person, die den Inhalt zuletzt geändert hat.

In der Vorschau enthalten E-Mails von Administratorwarnungen Details wie:

• Der Schweregrad der Warnung
• Zeitpunkt des Auftretens der Warnung
• Die -Aktivität.
• Die erkannten vertraulichen Daten.
• Der Alias des Benutzers, dessen Aktivität die Warnung ausgelöst hat.
• Die Richtlinie, die abgeglichen wurde.
• Die Warnungs-ID
• Der Endpunktvorgang, der versucht wurde, wenn sich der Standort Geräte im Bereich der Richtlinie befindet.
• Die verwendete App.
• Der Gerätename, wenn die Übereinstimmung auf einem Endpunktgerät aufgetreten ist.

DLP übergibt Incidentinformationen an andere Microsoft Purview Information Protection-Dienste, z. B. Insider-Risikomanagement. Um Incidentinformationen für das Insider-Risikomanagement zu erhalten, müssen Sie den Schweregrad für Incidentberichte auf Hoch festlegen.

Alarmtypen

Warnungen können jedes Mal gesendet werden, wenn eine Aktivität einer Regel entspricht, was laut sein kann. Um das Rauschen zu reduzieren, können sie basierend auf der Anzahl der Übereinstimmungen oder der Menge der Elemente über einen bestimmten Zeitraum aggregiert werden. Es gibt zwei Arten von Warnungen, die in DLP-Richtlinien konfiguriert werden können.

• Warnungen mit nur einem Ereignis werden in der Regel in Richtlinien verwendet, die auf hoch vertrauliche Ereignisse überwachen, die in einem geringen Volumen auftreten, z. B. eine einzelne E-Mail mit 10 oder mehr Kundenguthaben Karte Nummern, die außerhalb Ihres organization gesendet werden. In der Vorschau ändert die benutzerbasierte Warnungsaggregation (Vorschau) das Verhalten einzelner Ereigniswarnungen.

• Aggregatereigniswarnungen werden in der Regel in Richtlinien verwendet, die auf Ereignisse überwachen, die über einen bestimmten Zeitraum in einem höheren Volumen auftreten. Beispielsweise kann eine aggregierte Warnung ausgelöst werden, wenn innerhalb von 48 Stunden 10 einzelne E-Mails mit jeweils einem Kundenguthaben Karte Nummer außerhalb Ihrer Organisation gesendet werden.

Weitere Warnungsoptionen

Wenn Sie E-Mail-Incidentberichte verwenden auswählen, um Sie zu benachrichtigen, wenn eine Richtlinienübereinstimmung auftritt , können Sie Folgendes einschließen:

• Der Name der Person, die den Inhalt zuletzt geändert hat.
• Die Typen vertraulicher Inhalte, die mit der Regel übereinstimmen.
• Der Schweregrad der Regel.
• Der Inhalt, der mit der Regel übereinstimmt, einschließlich des umgebenden Texts.
• Das Element, das den Inhalt enthält, der der Regel entspricht.

Weitere Informationen zu Warnungen finden Sie unter:

• Warnungen in DLP-Richtlinien: Beschreibt Warnungen im Kontext einer DLP-Richtlinie.
• Erste Schritte mit Warnungen zur Verhinderung von Datenverlust: Behandelt die erforderlichen Berechtigungen, Berechtigungen und Voraussetzungen für DLP-Warnungen und Warnungsreferenzdetails.
• Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust: Enthält Anleitungen zur Warnungskonfiguration im Kontext der Erstellung einer DLP-Richtlinie.
• Informationen zum Untersuchen von Warnungen zur Verhinderung von Datenverlust: Behandelt die verschiedenen Methoden zum Untersuchen von DLP-Warnungen.
• Untersuchen von Datenverlustvorfällen mit Microsoft Defender XDR: Untersuchen von DLP-Warnungen in Microsoft Defender Portal.

Beweissammlung für Dateiaktivitäten auf Geräten

Wenn Sie die Sammlung von Nachweisen für Dateiaktivitäten auf Geräten einrichten aktiviert und Azure Speicherkonten hinzugefügt haben, können Sie Originaldatei als Beweis für alle ausgewählten Dateiaktivitäten auf dem Endpunkt und dem Azure Speicherkonto, in das Sie die Elemente kopieren möchten, als Beweis sammeln auswählen. Sie müssen auch die Aktivitäten auswählen, für die Sie Elemente kopieren möchten. Wenn Sie z. B. Drucken, aber nicht in eine Netzwerkfreigabe kopieren auswählen, werden nur Elemente, die von überwachten Geräten gedruckt werden, in das Azure Speicherkonto kopiert.

Weitere Optionen

Wenn Sie über mehrere Regeln in einer Richtlinie verfügen, können Sie die zusätzlichen Optionen verwenden, um die weitere Regelverarbeitung zu steuern, wenn eine Übereinstimmung mit der Regel vorhanden ist, die Sie bearbeiten, sowie die Priorität für die Auswertung der Regel festlegen. Dies wird nur für Exchange- und Teams-Standorte unterstützt.

Siehe auch

• Informationen zur Verhinderung von Datenverlust
• Planen der Verhinderung von Datenverlust (DATA Loss Prevention, DLP)
• Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust